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(57) Abstract: Disclosed is a method for the controlled execution of a program (26) used for a virtual machine (VM. VM*) on a 
portable data carrier that comprises a processor executing at least one first and a second virtual machine (VM, VM). According 
to the inventive method, the program (26) is executed by both the first and the second virtual machine (VM, VM'). Execution of 
the program is aborted in case a deviation of the mode of operation of the first virtual machine (VM) from the mode of operation 
of the second virtual machine (VM*) is detected during execution of the program (26). A data carrier and a computer program are 
provided with conesponding characteristics. The invention creates technology for controlled program execution, which prevents 
safety hazards due to an attack or malfunction of the data carrier, 
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(57) Zusammenfassung: Bei einem Verfahren zur kontrollierten Ausftihning eines fiir cine virtuelle Maschine (VM, VM') vorgese- 
henen Pragramms (26) auf einem tragbaren Datentiager, wobei der Datentrager einen Prozessor aufweist, der nundestens erne ^ste 
und eine zweite virtuelle Maschine (VM, VM') ausfuhrt, wird das Programm (26) sowohl von der ersten als auch von der zweiten 
virtue! len Maschine (VM. VM') ausgefiihrt. Falls wahrend der Ausfuhrung des Programms (26) eine Abweichung des Betnebszu- 
stands der ersten virtueUen Maschine (VM) von dem Betriebszustand der zweiten virtuellen Maschine (VM') festgestellt wird, wird 
die Programmausftihrung abgebrochen. Ein Datentrager und ein Computerprogranmiprodukt weisen entsprechende Merkmale auf. 
Die Erfindung stellt eine Technik zur kontrollierten Pro granunausftihrung bereit. die Sicherheitsrisiken durch einen Angnfif oder 
eine BetriebsstOrung des Datenti^gers vermeidet. 
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KontroUierte Ausfiihrung eines fttr eine virtuelle Maschine 
vorgesehenen Programms auf einem tragbaren Datentrager 

5 Die Erf indimg betrifft allgemein das technische Gebiet der Ausfiihmng eines 
for eine virtuelle Maschine vorgesehenen Programms auf einem tragbaren 
Datentrager, der einen Prozessor aufvsreist. Ein derartiger tragbarer Daten- 
trager kann insbesondere eine Chipkarte in unterschiedlichen Bauformen 
Oder ein Chipmodul sein. Spezieller betrifft die Erf indimg die kontrollierte 
10 Programmausfiihrung, um StSnmgen oder Angriff e zu erkennen und um zu 
verhindern, dafi die Sicherheit des tragbaren Datentragers durch solche 
StSrungen oder Angriffe kompromittiert wird. 

Tragbare Datentrager, die eine virtuelle Maschine zur Ausfflhrung von 
15 Programmen aufweisen, sind z,B. unter der Marke Java Card™ bekannt. 
Solche Datentrager sind in Kapitel 5.10.2 des Buches "Handbuch der 
Chipkarten" von W. Rankl und W. Effing, Hanser Verlag, 3. Auflage, 1999, 
Seiten 261 - 281, beschrieben. Eine ausfuhrliche Spezifikation des Java-Card- 
Standards, der dabei verwendeten virtuellen Maschine JCVM (Java Card 
20 Virtual Machine) und der ausgefuhrten Programme (Java Card Applets) findet 
sich auf den Intemet-Seiten der Firma Sun Microsystems, Inc., unter 
http://java.suri.corn/products/javacard. 

Tragbare DatentxSger werden haufig fiir sicherheitskritische Anwendxmgen 
25 eingesetzt, beispielsweise im Zusammenhang mit Finanztransaktionen oder 
bei der elektronischen Signatur von Dokumenten. Es sind bereits Techniken 
zum Angriff auf tragbare Datentrager bekannt geworden, bei denen die Pro- 
grammausfiihrung durch externe Beeinflussung gestort wird. Eine solche 
StOrung kann insbesondere durch Sparintmgsimpulse, Einwirkung von 
30 Warme oder KSlte, elektrische oder magnetische Felder, elektromagnetische 
Wellen oder Teilchenstrahlung verursacht werden. So ist es z.B. mOglich, 
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durch lichtblitze auf den freigelegten Halbleiterchip des tragbaren DatentrS- 
gers Registerinhalte im Prozessor oder Speicherinhalte zu verandem. Durch 
eine derartige StSning kann m5glicherweise die Sicherheit des Datentragers 
kompromittiert werden, wenn z.B. der Datentrager einen fehlerhaft ver- 
5 schllisselten Text ausgibt, dessen Analyse Riickschliisse auf einen geheimen 
Schliissel zxilafit. 

Es besteht daher das Problem, einen Datentrager der eingangs genannten 
Art gegen eine Kompromittierung durch Angriff e abzusichem, bei denen die 
AusfQhrung eines Programms durch eine virtueUe Maschine gest5rt wird. 

Aus GB 2 353 113 A ist ein Computemetz bekannt, das Softwaref ehler in 
gewissem Umfang auszugleichen vermag. Bei diesem Computemetz sind 
mindestens zwei Rechner vorgesehen, die je eine virtueUe Maschine ausfuh- 
ren. Wenn ein f ehlerhafter Ablauf einer der virtuellen Maschinen f estgestellt 
wird, wird die Programmausfiihrtmg durch die andere virtueUe Maschine 
bzw. die anderen virtueUen Maschinen f ortgesetzt 

Das aus GB 2 353 113 A bekannte System ist gattungsfremd, da es nicht fOr 
einen tragbaren Datentrager, sondern fur ein komplexes Netz mit mehreren 
Computem vorgesehen ist. Die virtueUen Maschinen werden von mehreren 
Prozessoren ausgefohrt, die ntir lose aneinander gekoppelt sind. Die Pro- 
grammausftthrung wird audi bei einer StSrung einer virtueUen Maschine 
f ortgesetzt. Zur Anwendung bei einem tragbaren Datentrager mit einem 
einzigen Prozessor eignet sich diese Lehre nicht. 

Die Erfindung hat demgemaiS die Auf gabe, die Probleme des Standes der 
Techruk zumindest zum TeU zu vermeiden und eine Technik zur kontroUier- 
ten Ausffihrung eines fiir eine virtueUe Maschine vorgesehenen Programms 
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auf einem tragbaren Datentrager bereitzustellen, durch die Sicherheitsrisiken 
bei einem Angriff oder einer Betriebsst5nmg vermieden werden. In bevor- 
zugten Ausgestalttmgen soli ein zuverlassiger Schutz bei mSglichst geringen 
LeistimgseinbxalSen des tragbaren DatentrSgers erreicht werden. 

5 

Erfindimgsgemafi wird diese Axifgabe ganz oder zum Teil gelost durch ein 
Verfahren mit den Merkmalen des Anspruchs 1, einen tragbaren Datentrager 
mit den Merkmalen des Anspruchs 10 und ein Computerprogrammprodukt 
mit den Merkmalen des Anspmchs 11. Die abhSngigen Anspriiche betreffen 
10 bevorzugte Ausgestaltungen der Erfindung. 

Die Erfindung beruht aiif der Gnmdidee, von dem einen Prozessor des trag- 
baren Datentragers mehrere virtuelle Maschinen ausfiihren zu lassen, die 
ihrerseits ein und dasselbe Programm ausfiihren. Durch diese Mafinahme 
15 ergibt sich eine Redundanz bei der ProgrammausfOhrimg, die zur Erken- 
nung von Fehlfunktionen eingesetzt werden kann. Es ist ein iiberraschendes 
Ergebnis der vorliegenden Erfindxmg, da& eine derartige Redundanz auch 
bei einem tragbaren Datentrager mit nur einem einzigen Prozessor erzielt 
werden kann. 

20 

Erfindungsgemafi wird die Ausfiihrung des Programms abgebrochen, falls 
eine Abweichung der Betriebszustande der virtuellen Maschinen voneinan- 
der f estgestellt wird. Es wird also nicht versucht, eine der virtuellen Maschi- 
nen als korrekt arbeitend zu identifizieren und die Programmausfiihrxmg 
25 mit dieser virtuellen Maschine f ortzusetzen. Durch den erfindungsgemafi 
vorgesehenen Programmabbruch wird eine besonders hohe Angriff ssicher- 
heit erreicht. 
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Die Erfindung bietet den erheblichen Vorteil, dafi sie problemlos auf iiblicher 
Hardware implementiert werden karm. Oberdies ist keinerlei Anpassung des 
auszuftihrenden Prograimns an den erfindungsgemSfien Angriffsschutz er- 
f orderlich. Alle flir die standardgemafie virtuelle Machine vorgesehenen 
5 Programme lauf en unverSndert atif den erfindungsgemMfi ausgestalteten 
Datentragern, was die Akzeptanz der Erfindung sehr f ordert. 

Bei der Oberpriifung der Betriebszustande der virtuellen Maschinen auf 
ttbereinstimmung findet vorzugsweise kein vollstSndiger Vergleich statt. 

10 Vielmehr ist in bevorzugten Ausftihrungsf ormen lediglich ein Vergleich von 
Inhalten einiger wichtiger Register tmd/oder Speicherinhalten vorgesehen. 
Seiche wichtigen Register koxmen beispielsweise die Programmzahler 
und/oder die Stapelzeiger der virtuellen Maschinen sein. Als Beispiel fiir 
wichtige Speicherinhalte, die in manchen Ausgestaltungen der Erfindimg 

15 miteinander verglichen werden, ist das jeweils jiingste ("oberste") Element in 
den Stapelspeichem der virtuellen Maschinen zu nennen. 

Da die virtuellen Maschinen auf dem tragbaren Datentrager von einem 
einzigen Prozessor ausgefiihrt werden, erfolgt in der Regel ein ineinander 
20 verzahnter {interleaved) Programmablauf . Dies schliefit jedoch nicht aus, dafi 
einzelne Operationen echt parallel ausgefiihrt werden, wenn der Prozessor 
des tragbaren DatentrSgers dazu eingerichtet ist. 

Die Uberprxifung der Betriebszustande der virtuellen Maschinen kann zu 
25 beliebigen Zeitpunkten erf olgen, an denen die virtuellen Maschinen - bei 
f ehlerfireiem Ablauf - identische Zustande aufweisen miifiten. Obwohl die 
Oberpriifung also prinzipiell nicht an die Bef ehlsgrenzen des ausgefahrten 
Programms gebunden ist, ist in bevorzugten Ausftihrungsf ormen vorgese- 
hen, diese Uberpriifung nach jeder Ausfiihrung eines Befehls des Pro- 



wo 2004/086220 



PCT/EP2004/003004 



gramms durch die virtuellen Maschinen vorzxinehmen. In altemativen 
Ausgestaltungen kaim der Abgleich der virtuellen Maschinen entweder 
schon nach der Ausfiihrung von Teilen von Bef ehlen oder jeweils erst nach 
der AusfUhnmg mehrerer Bef ehle erf olgen. 

5 

Vorzugsweise wird jeder Bef ehl des Programms zunSchst von der ersten 
und dann von der zweiten virtuellen Maschine ausgefiihrt. In manchen 
Ausgestaltungen wird hierbei zunachst die Ausfiihrung des Bef ehls von der 
ersten virtuellen Maschine beendet, bevor der Prozessor des tragbaren 

10 Datentragers mit der Ausfiihrung des Befehls durch die zweite virtuelle 

Maschine beginnt. In anderen Ausgestaltungen kann der Prozessor dagegen 
mehrere Teilabschnitte des Befehls jeweils zunSchst auf der ersten und dann 
auf der zweiten virtuellen Maschine ausfuhren, sofem nur die erste virtuelle 
Maschine nicht gegeniiber der zweiten virtuellen Maschine ins Hintertreff en 

15 gerat. 

Durch den Einsatz von mindestens zwei - in manchen Ausfiihrungsf ormen 
auch mehr - virtuellen Maschinen verringert sich die fur jede virtuelle 
Maschine bereitstehende Rechenleistung entsprechend. Hinsichtlich der 
20 tatsachlichen Prograininlaufzeit ist jedoch zu beriicksichtigen, dafi bei einem 
t3^ischen tragbaren Datentrager viel Zeit fiir SchreibvorgSnge in einen 
nicht-fliichtigen Speicher des Datentragers benStigt wird. 

In bevorzugten Ausfiihrungsf ormen ist deshalb vorgesehen, dalS die virtu- 
25 ellen Maschinen auf einen gemeinsamen Heap (Hauf en oder Halde) im 
nicht-fliichtigen Speicher des tragbaren Datentragers zugreifen, wobei 
Schreibvorgange nur von einer der virtuellen Maschinen ausgefiihrt werden. 
Die andere virtuelle Maschine oder die anderen virtuellen Maschinen kann/ 
kOnnen entweder den Schreibvorgang ganz tiberspringen oder statt des 
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Schreibvorgangs liberpriif en, ob an der zu beschreibenden Stelle im Speicher 
bereits der einzuschreibende Wert enthalten ist. Falls das auszxifiihrende 
Programm viele Schreibvorgange in den Heap enthalt, benGtigen diese einen 
wesentlichen Teil der Gesamtlauf zeit. Dxirch den Einsatz der gerade be- 
5 schriebenen Ausftihrungsf orm der Erfindting bleibt dieser TeU der Gesamt- 
lauf zeit unverSndert, wShrend nur die reine Rechenzeit des Prozessors - die, 
wie erwahnt, weniger ins Gewicht f Milt - ansteigt. 

Der erfindungsgemSfie tragbare Datentrager ist vorzugsweise als Chipkarte 
10 Oder Chipmodxil auisgebildet Das erfindxingsgemafie Computerprogramm- 
produkt weist Programmbef ehle auf, um das erfindungsgemSfie Verf ahren 
zu implementieren. Bin derartiges Computerprogrammprodukt kann ein 
k5rperliches Medium sein, beispielsweise ein Halbleiterspeicher oder eine 
Diskette oder eine CD-ROM, auf dem ein Programm zur Ausfiihrung eines 
15 erfindungsgemafien Verfahrens gespeichert ist. Das Computerprogramm- 
produkt kann jedoch auch ein nicht-korperliches Medium sein, beispiels- 
weise ein liber ein Computemetzwerk libermitteltes Signal. Das Computer- 
programmprodukt kann insbesondere zur Verwendung im Ztisammenhang 
mit der Herstellxmg und/oder Initialisierxmg und/oder Personalisierimg 
20 von Chipkarten oder sonstigen Datentragem vorgesehen sein. 

In bevorzugten Ausgestaltungen weisen der Datentrager und/ oder das 
Computerprogrammprodukt Merkmale auf, die den oben beschriebenen 
xmd/oder den in den abhangigen Verfahrensansprtichen genannten Merk- 
25 malen entsprechen. 

Weitere Merkmale, Vorteile imd Auf gaben der Erf indung gehen aus der f ol- 
genden genauen Beschreibung eines Ausftihrungsbeispiels und mehrerer 
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Ausfuhriingsalternativen hervor. Es wird auf die schematischen Zeichnun- 
gen verwiesen, in denen zeigen: 

Fig. 1 ein Blockdiagramm mit Funktionseinheiten eines tragbaren Daten- 
5 tragers nach einem AusfQhrungsbeispiel der Erfindung, 

Fig. 2 eine konzeptuelle Darstellung von Komponenten, die bei der Pro- 
• grammausfiihrimg durch den tragbaren Datentrager aktiv sind, 

10 Fig. 3 ein FluSdiagranrai einer wahrend der ProgrammausfOhrting fiir jeden 
Programmbef ehl durchlauf enen Hauptschleif e, tind 

Fig. 4 ein FlujGdiagramm der Oberpriifung der Betriebszustande der virtu- 
ellen Maschinen auf tJbereinstiimnung. 

15 

Der in Fig. 1 dargestellte Datentrager 10 ist im vorliegenden Ausfuhrungs- 
beispiel als Chipkarte gemai3 dem /at^a-Ozr^i-Standard ausgestaltet. Der Da- 
tentrager weist auf einem einzigen Halbleiterchip einen Prozessor 12, meh- 
rere in unterschiedlichen Technologien ausgestaltete Speicherf elder und eine 

20 Sdinittstellenschaltung 14 zur kontaktlosen oder kontaktgebundenen Kom- 
munikation auf. Im vorliegenden Ausfuhrungsbeispiel sind als Speicherf el- 
der ein Arbeitsspeicher 16, ein Festwertspeicher 18 und ein nicht-fliichtiger 
Speicher 20 vorgesehen. Der Arbeitsspeicher 16 ist als RAM, der Festwert- 
speicher 18 als maskenprogranuniertes ROM und der nicht-fliichtige Spei- 

25 cher 20 als elektrisch iSsch- und programmierbares EEPROM ausgestaltet. 
Schreibzugriff e auf den nicht-flilchtigen Speicher 20 sind relativ aufwendig 
imd benStigen beispielsweise die dreiJBigf ache Zeit eines Lesezugriffs. 
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Im Festwertspeicher 18 - tmd zum Teil audi im nicht-flflchtigen Speicher 20 
- ist ein Betriebssystem 22 enthalten, das eine Vielzahl von Funktionen und 
Diensten bereitstellt. Unter anderem weist das Betriebssystem 22 ein Code- 
modul 24 axif, das eine virtuelle Maschine - im voriiegenden Ausfiihnmgs- 
5 beispiel ieine JCVM (Java Card Virtual Machine) - implementiert. 

In Fig. 1 ist beispielhaft ein auszufiihrendes Progranun 26 im nicht-flflchti- 
gen Speicher 20 gezeigt, das im vorliegenden AxisfOhrtmgsbeispiel als ]am 
Card Applet ausgestaltet ist. Das Programm 26 kann auch ganz oder teUweise 
10 im Festwertspeicher 18 enthalten sein, und es kSnnen weitere Programme 
zur Ausfuhrimg durch den tragbaren Datentrager 10 vorgesehen sein. Ein 
Bereich im nicht-fliichtigen Speicher 20 ist als Heap 28 (Hauf en oder Halde) 
reserviert, um wMhrend der Programmausfuhrtmg Objekte tmd andere 
Datenstrukturen atifzunehmen. 

15 

Um das Programm 26 auszuiiihren, startet der Prozessor 12 unter Steuerung 
des Betriebssystems 22 zwei Instanzen des Codemoduls 24, die je eine virtu- 
elle Maschine VM, VM' bilden. Wie in Fig. 2 dargestellt ist, fiihren die beiden 
virtuellen Maschinen VM, VM' ein imd dasselbe Programm 26 axis, das im 
20 nicht-fltichtigen Speicher 20 nur einmal vorliegt. Die beiden virtuellen Ma- 
schinen VM, VM' greif en daher, v^&an sie einen Befehl des Programms 26 
holen, auf identische Adressen im nicht-flflchtigen Sgeicher 20 zu. 

Die beiden virtuellen Maschinen VM, VM' fiihren wahrend des Programm- 
25 ablaufs Zugriffsoperationen avif den gemeinsamen Heap 28 aus. Auch hier 
sind die im Heap 28 gespeicherten Objekte und Datenstrukturen jeweils nur 
einmal vorhanden. Die erste virtuelle Maschine VM fiihrt auf dem Heap 28 
sowohl Leseoperationen R als auch Schreiboperationen W aus. Die zweite 
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virtuelle Maschine VM' fuhrt dagegen zwar Leseoperationen R' aus, aber 
keine Schreiboperationen, sondem Verifikationsoperationen V. 

Die virtuellen Maschinen VM, VM* weisen jeweils eigene Register auf, von 
5 denen in Fig. 2 je ein Programmzahler PC, PC und ein Stapelzeiger SP, SP' 
gezeigt sind. Diese Register sind im Arbeitsspeicher 16 angelegt oder werden 
dxirch Register des Prozessors 12 implementiert. Femer wfeist jede virtuelle 
Maschine VM, VM' einen eigenen Stapelspeicher ST, ST' aiif, der in je einem 
Bereich des Arbeitsspeichers 16 angelegt ist Die jeweils jiingsten ("obersten") 
10 Eintrage in den Stapelspeichem ST, ST', auf die die jeweiligen Stapelzeiger 
SP, SP' verweisen, sind in Fig. 2 durch @SP und @SF gekennzeichnet. 

In einer Abwandlung zu der in Fig. 1 gezeigten Darstellung konnen die 
virtuellen Maschinen VM, VM* hardwaremafiig getrennt in separaten 
15 Speichem 20 angelegt sein, die weiterhin separaten Prozessoren zugeordnet 
sein k5nnen. Vorgesehen sein kann auch, dalS die virtuellen Maschinen VM, 
VM' als Hardwarebauelemente ausgefiihrt sind, 

Bei der Ausfuhning des Programms 26 fiihrt das Betriebssystem 22 die in 
20 Fig. 3 gezeigte Schleif e aus. Fiir jeden Bef ehl des Programms 26 erf olgt ein 
Schleif endurchlaxif . Der Befehl wird zunachst in Schritt 30 von der ersten 
virtuellen Maschine VM ausgefOhrt. Hierbei bestehen im Vergleich zu der 
Programmausfiihrung bei einem System nach dem Stand der Technik durch 
eine einzige virtuelle Maschine keine Unterschiede, Insbesondere verwaltet 
25 die erste virtuelle Maschine ihre Register PC imd SP sowie den Stapel- 
speicher ST und fiihrt gegebenenfalls eine Leseoperation R xmd/oder eine 
Schreiboperation W auf dem Heap 28 durch. 
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Werin die Befehlsausfuhrung durch die erste virtuelle Maschine VM abge- 
schlossen ist, fuhrt die zweite virtuelle Maschine VM' in Schritt 32 denselben 
Befehl des Programms 26 nochmals aus. Auch hier erf olgen die Verwaltung 
der Register PC und SPV die Verwaltung des Stapelspeiehers ST' sowie 
5 gegebenenfalls eine Operation R* des Lesens vom Heap 28 axif iibliche Weise. 

Die Befehlsausfuhrung durch die zweite virtuelle Maschine VM' unterschei- 
det sich jedoch von der Bef ehlsausftihrting durch die erste virtuelle Maschi- 
ne VM dadurch, dalS statt einer durch den Befehl gegebfenenf alls vorgegebe- 
nen Schreiboperation eine Vergleichsoperation V ausgefuhrt wird, bei der 
der eigentlich in den Heap 28 zu schreibende Wert mit dem aktuellen Inhalt 
des Heaps 28 an der zu beschreibenden Adresse verglichen wird. Wenn die 
BerechnungsvorgSnge der beiden virtuellen Maschinen VM, VM' ixberein- 
stimmen, dann hat die erste virtuelle Maschine VM in Schritt 30 den nun in 
Schritt 32 von der zweiten virtuellen Maschine VM' bestrmmten Wert bereits 
in den Heap 28 eingeschrieben. Die Verifikationsoperation V in Schritt 32 
ergibt daher eine Ubereinstimmung, und der Berechnungsablauf wird f ort- 
gesetzt. Wird in Schritt 32 dagegen eine Abweichung der Werte f estgestellt, 
so deutet dies auf eine Fehlf unktion einer der virtuellen Maschinen VM, VM' 
hin. Die Projgrammausfiihrimg wird dann als fehlerhaft abgebrochen. Diese 
M5glichkeit ist in Fig. 3 durch einen gestrichelten Pf eil angedeutet 

Nach der Ausfuhrtmg des Programmbef ehls durch beide virtuellen Maschi- 
nen VM, VM' wird nun in Schritt 34 geprtift, ob die erreichten Betriebszu- 
25 stande der beiden virtuellen Maschinen iibereinstimmen. Dazu werden itn 
hier beschriebenen Ausfiihrungsbeispiel nur einige Register- und Speicher- 
werte auf Obereinstimmung gepriift, wie dies in Fig. 4 gezeigt ist. Zunachst 
wird in Teilschritt 34.1 liberpriift, ob die beiden Programmzahler PC, PC 
nach der Befehlsausfuhrung denselben Wert aufweisen. Ist dies der Fall, so 
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erf olgt in Teilschritt 34.2 eine tTberprtifung der beiden Stapelzeiger SP, SP' 
atif tJbereinstimmxing. Wenn auch dieser Test erf olgreich ist, wird in Teil- 
schritt 34.3 iiberpriift, ob die jeweils jiingsten EintrSge @SP, @SP* in den 
Stapelspeichern ST, STV also die Eintrage, auf die die Stapelzeiger SP, SP* 
5 verweisen, identisch sind. 

Wenn bei alien drei Abfragen 34.1, 34.2 , 34.3 eine Obereinstimmung festge- 
stellt worden ist, so wird in Schritt 34 (Fig. 3) von einer korrekten Pro- 
grammausftihrung diirch die beiden virtuellen Maschinen VM, VM' ausge- 
10 gangen. Es erf olgt dann ein Riicksprung zum Anf ang der Schleif e, und der 
• nachste Befehl des Programms 26 wird zunachst durch die erste und dann 
durch die zweite virtuelle Maschine VM, VM' ausgefiihrt. 

Ergibt sich bei der Zustandsiiberprflfting in einem der drei Teilschritte 34.1, 
34.2, 34.3 jedoch eine Abweichung, so deutet dies atif eine Fehlfunktion einer 
der beiden virtuellen Maschinen VM, VM* hki. Dies wiederum wird als Indiz 
fur eine Storung oder einen Angriff auf die Hardware des tragbaren Daten- 
tragers 10 erachtet. Da der Prozessor 12 die Schritte 30 und 32 streng nach- 
einander ausfiihrt, ist bei einem Angriff z.B. durch einen Lichtblitz nur die 
Funktion einer der beiden virtuellen Maschinen VM, VM' betroff en. Selbst 
bei rasch auf einanderf olgenden lichtblitzen wSre es unwahrscheinlich, dalS 
beide virtuellen Maschinen VM, VM' in gleicher Weise gestort werden 
wtirden. 

25 Wird in Schritt 34 eine Abweichung der Betriebszustande f estgestellt, so 
wird die Programmausfiihrung als fehlerhaft abgebrochen. Das Betriebs- 
system 22 bringt dann den Datentrager 10 in einen sicheren Zustand. Hierbei 
ist insbesondere zu beachteiv daJB der DatentrSger 10 nach einem Programm- 
abbruch keine Ausgabeoperationen mehr durchfuhren soil. Je nach den an 
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den Datentrager 10 gestellten Sicherheitsanf orderungen kann vorgesehen 
sein, dafi der Datentrager 10 nach einem regulSren Riicksetzvorgang (reset) 
wieder einsatzbereit ist, oder es kann ein besonderer Freischaltvorgang ge- 
fordert werden, oder der Datentrager 10 kann ganzlich deaktiviert werden. 
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Patentanspruche 



1. Verfahren zur kontrollierten Ausfiihrung eines fiir eine virtuelle 
5 Maschine (VM, VM') vorgesehenen Prograixtms (26) auf einem 

tragbaren Datentrager (10), wobei 

der Datentrager (10) einen Prozessor (12) atifweist, der minde- 
stens eine erste xind eine zweite virtuelle Maschine (VM, VM') 
ausfiihrt, 

10 - das Programm (26) sowohl von der ersten als auch von der zwei- 

ten virtudlen Maschine (VM, VM*) aiisgefiihrt wird, 
der Betriebszustand der ersten virtuellen Maschine (VM) xind der 
Betriebszustand der zweiten virtuellen Maschine (VM') wShrend 
der Ausfiihrung des Programms (26) auf Ubereinstinunung iiber- 

15 pnift werden, und 

die Ausffihrung des Programms (26) abgebrochen wird, falls eine 
Abweichtmg des Betriebszustands der ersten virtuellen Maschine 
(VM) von dem Betriebszustand der zweiten virtuellen Maschine 
(VM*) f estgestellt wird, 

20 

2. Verfahren nach Anspruch 1, daduurch gekennzeichnet, dafi die 

* "Oberprtifung des Betriebszustands der ersten virtuellen Maschine 
(VM) und des Betriebszustand der zweiten virtuellen Maschine 
(VM*) auf Ubereinstimmimg eine tJberprxifung timf afit, ob der 
25 Stand eines Programmzahlers (PC) der ersten virtuellen Maschine 

(VM) gleich dem Stand eines Programmzahlers (PC) der zweiten 
virtuellen Maschine (VM*) ist. 



3. 

30 



Verfahren nach Anspruch 1 oder Anspruch 2, dadurch gekenn- 
zeichnet, dafi die Clberprtifung des Betriebszustands der ersten 
virtuellen Maschine (VM) und des Betriebszustand der zweiten 
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virtuellen Maschine (VM') auf tn^ereinstiininimg eine Uberprii- 
fung umf a^St, ob der Stand eines Stapelzeigers (SP) der ersten 
virtuellen Maschine (VM) gleich dem Stand eines Stapelzeigers 
(SF) der zweiten virtuellen Maschine (VM') ist. 

5 

4. Verfahren nach einem der Anspriiche 1 bis 3, dadurch gekenn- 
zeichnet, dafi die Uberpriifung des Betriebszustands der ersten 
virtuellen Maschine (VM) und des Betriebszustand der zweiten 
virtuellen Maschine (VM') auf iJbereinstimmung eine tJberprti- 

10 fung umf afit, ob der Wert des jiingsten Elements (@SP) in einem 

der ersten virtuellen Maschine (VM) zugeordneten Stapelspeicher 
(ST) gleich dem Wert des jiingsten Elements (@SP') in einem der 
zweiten virtuellen Maschine (VM') zugeordneten Stapelspeicher 
(ST') ist. 

15 

5. Verfahren nach einem der Anspriiche 1 bis 4, dadurch gekenn- 
zeichnet, dafi die Oberpriifung des Betriebszustands der ersten 
virtuellen Maschine (VM) und des Betriebszustand der zweiten 
virtuellen Maschine (VM') auf Ubereinstimmung jeweils vorge- 

20 nommen wird, nachdem ein Bef ehl des Programms (26) sowohl 

von der ersten als auch von der zweiten virtuellen Maischine (VM, 
VM') ausgefuhrt worden ist 

6. Verfahren nach einem der Anspriiche 1 bis 5, dadurch gekenn- 
25 zeichnet, dafi die erste und die zweite virtuelle Maschine (VM, 

VM') auf einen gemeinsamen Heap (28) in einem nicht-fliichtigen 
Speicher (20) des Datentragers (10) zugreif en. 
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I. Verf ahren nach Anspruch 6, dadurch gekennzeichnet, dafi bei 
der Ausfiihrung eines Befehls des Programms (26), der einen 
Schreibvorgang axif den gemeinsamen Heap (28) beinhaltet, der 
Schreibvorgang nur von der ersten virtuellen Maschine (VM) 
ausgefiihrt wird. 

8. Verf ahren nach Anspruch 7, dadurch gekennzeichnet, dafi der 
Bef ehl des Programms (26) zuerst von der ersten virtuellen Ma- 
schine (VM) und daim von der zweiten virtuellen Maschine (VM') 
ausgeftthrt wird, und dafi die zweite virtuelle Maschine (VM') 
statt des Schreibvorgangs iiberpriift, ob im Heap (28) an der zu 
beschreibenden Stelle der einzuschreibende Wert enthalten ist. 

9. Verf ahren nach einem der Ansprtiche 1 bis 8, dadurch gekenn- 
zeichnet, dafi das Programm (26) ein ](wa Card Applet ist, das zur 
Axisfiihrung durch eine JCVM (Java Card Virtual Madtine) vorge- 
sehen ist, 

10. Tragbarer Datentrager (10), insbesondere Chipkarte oder Chip- 
modui, mit einem Prozessor (12) und einem Betriebssystem (22), 
wobei das Betriebssystem (22) Programmbef ehle aufweist, um den 
Prozessor (12) zur Ausfiihrung eines Verf ahrens nach einem der 
Anspriiche 1 bis 9 zu veranlassen. 

II. Computerprogrammprodukt, das Programmbefehle aufweist, imi 
einen Prozessor (12) eines tragbaren Datentragers (10) zu veran- 
lassen, ein Verf ahren mit den Merkmalen eines der Anspriiche 1 
bis 9 auszufiihren. 
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SCHLEIFE 



VM FUHRT NACHSTEN 
PROGRAMMBEFEHL AUS 



~30 



VM' FUHRT SELBEN 
PROGRAMMBEFEHL AUS 




NEIN 



FEHLERABBRUCH 



( ^ZUSTANDSVERGLEICH^ 




NEIN 



NEIN 



NEIN 



Fig. 4 
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